Гайд
План обучения команды безопасной работе с ИИ
Данный план поможет выстроить в компании культуру безопасного использования нейросетей, минимизировать риски утечки данных и предотвратить юридические проблемы.
Этап 1
Внедрение корпоративной ИИ-политики (Вводный инструктаж)
Формат:
Обязательный вебинар для всех сотрудников или интерактивный курс при онбординге
Цель:
Обозначить границы: что разрешено, а что строго запрещено
«Белые» и «черные» списки инструментов:
Четкий перечень разрешенных нейросетей (например, только корпоративные версии с защитой данных) и запрещенных сервисов (сомнительные боты в мессенджерах, неофициальные клиенты)
Четкий перечень разрешенных нейросетей (например, только корпоративные версии с защитой данных) и запрещенных сервисов (сомнительные боты в мессенджерах, неофициальные клиенты)
Регламент компании:
Обзор внутреннего документа, регулирующего использование ИИ в рабочих процессах. Алгоритм получения доступа к платным и корпоративным инструментам.
Обзор внутреннего документа, регулирующего использование ИИ в рабочих процессах. Алгоритм получения доступа к платным и корпоративным инструментам.
Ответственность:
Фиксация правила, согласно которому финальную ответственность за любой продукт, расчет или текст несет сотрудник, а не нейросеть.
Фиксация правила, согласно которому финальную ответственность за любой продукт, расчет или текст несет сотрудник, а не нейросеть.
Правило «Нулевого доверия» (Zero Trust):
Объяснение того, как публичные модели (бесплатные версии ChatGPT, Claude и др.) используют вводимые данные для собственного обучения
Объяснение того, как публичные модели (бесплатные версии ChatGPT, Claude и др.) используют вводимые данные для собственного обучения
Матрица данных:
Разбор примеров того, что категорически нельзя загружать в публичные ИИ: персональные данные клиентов (ПДн), финансовые отчеты до их публикации, исходный код, пароли, API-ключи, стратегии развития и неопубликованные документы.
Разбор примеров того, что категорически нельзя загружать в публичные ИИ: персональные данные клиентов (ПДн), финансовые отчеты до их публикации, исходный код, пароли, API-ключи, стратегии развития и неопубликованные документы.
Анонимизация данных:
Обучение базовым навыкам обезличивания информации перед ее отправкой в нейросеть (замена реальных названий компаний на «Компания Х», удаление имен и цифр)
Обучение базовым навыкам обезличивания информации перед ее отправкой в нейросеть (замена реальных названий компаний на «Компания Х», удаление имен и цифр)
Этап 2
Информационная безопасность и классификация данных
Формат:
Практический семинар совместно с отделом информационной безопасности (ИБ)
Цель:
Предотвратить утечки чувствительной информации и коммерческой тайны
Этап 3
Фактчекинг и управление рисками «галлюцинаций»
Формат:
Разбор реальных кейсов (ошибок) на практике
Цель:
Исключить репутационные и финансовые риски от слепого доверия алгоритмам
Природа галлюцинаций ИИ:
Понимание того, почему нейросети могут уверенно выдавать выдуманные факты, несуществующие законы или неработающие ссылки
Понимание того, почему нейросети могут уверенно выдавать выдуманные факты, несуществующие законы или неработающие ссылки
Процесс верификации:
Внедрение обязательного этапа ручной проверки всех критически важных данных, цифр, цитат и ссылок на источники. Перекрестная проверка ответов ИИ через официальные документы или профильных специалистов
Внедрение обязательного этапа ручной проверки всех критически важных данных, цифр, цитат и ссылок на источники. Перекрестная проверка ответов ИИ через официальные документы или профильных специалистов
Оценка предвзятости:
Обучение навыку распознавания логических искажений или устаревшей информации в ответах алгоритмов
Обучение навыку распознавания логических искажений или устаревшей информации в ответах алгоритмов
Вопросы авторского права:
Разъяснение статуса сгенерированного контента. Объяснение того, что ИИ-изображения, тексты и код могут не охраняться авторским правом, либо нарушать чужие патенты
Разъяснение статуса сгенерированного контента. Объяснение того, что ИИ-изображения, тексты и код могут не охраняться авторским правом, либо нарушать чужие патенты
Лицензионная чистота:
Правила использования ИИ-контента в коммерческих проектах, рекламе или продуктах, которые продаются конечным пользователям
Правила использования ИИ-контента в коммерческих проектах, рекламе или продуктах, которые продаются конечным пользователям
Прозрачность и маркировка:
Внедрение правил о том, в каких случаях компания и сотрудники обязаны раскрывать информацию (клиентам, партнерам), что часть работы была выполнена с помощью ИИ
Внедрение правил о том, в каких случаях компания и сотрудники обязаны раскрывать информацию (клиентам, партнерам), что часть работы была выполнена с помощью ИИ
Этап 4
Юридическая и этическая безопасность
Формат:
Лекция или воркшоп от юридического отдела/внешнего ИИ-практика
Цель:
Защитить компанию от претензий в сфере авторского права
Этап 5
Продвинутая безопасность у ИИ-экспертов
Формат:
Интенсивы для узких групп (разработчики, топ-менеджмент, специалисты по безопасности)
Цель:
Работа с интеграциями на системном уровне
Безопасность API:
Обучение IT-отдела безопасному подключению ключей ИИ по API к внутренним системам, чтобы исключить риск перехвата данных злоумышленниками
Обучение IT-отдела безопасному подключению ключей ИИ по API к внутренним системам, чтобы исключить риск перехвата данных злоумышленниками
Разбор громких инцидентов:
Анализ утечек кода и коммерческой информации у мировых корпораций через нейросети — как это произошло и как избежать аналогичного сценария (учиться на чужих ошибках)
Анализ утечек кода и коммерческой информации у мировых корпораций через нейросети — как это произошло и как избежать аналогичного сценария (учиться на чужих ошибках)
Защита от современных угроз:
Обучение распознаванию дипфейков, фишинговых писем, сгенерированных ИИ, и попыток социальной инженерии, направленных на сотрудников с помощью нейросетей
Обучение распознаванию дипфейков, фишинговых писем, сгенерированных ИИ, и попыток социальной инженерии, направленных на сотрудников с помощью нейросетей
Сценарии реагирования (Incident Response):
Четкий пошаговый план: что должен сделать сотрудник, если он понял, что случайно отправил базу данных клиентов в публичный чат-бот (без страха увольнения, с фокусом на быстрое решение проблемы)
Четкий пошаговый план: что должен сделать сотрудник, если он понял, что случайно отправил базу данных клиентов в публичный чат-бот (без страха увольнения, с фокусом на быстрое решение проблемы)
Регулярные проверки:
Периодические тест-рассылки (по аналогии с учебным фишингом) для проверки того, как сотрудники соблюдают правила безопасности
Периодические тест-рассылки (по аналогии с учебным фишингом) для проверки того, как сотрудники соблюдают правила безопасности
Обновление знаний:
Раз в квартал — краткий дайджест о новых ИИ-угрозах, изменениях в законодательстве и обновлениях списков разрешенных инструментов
Раз в квартал — краткий дайджест о новых ИИ-угрозах, изменениях в законодательстве и обновлениях списков разрешенных инструментов
Этап 6
Инцидент-менеджмент и регулярный контроль
Формат:
Постоянный процесс
Цель:
Поддержка актуального уровня знаний и контроля
Этап 7
Продвинутая безопасность у ИИ-экспертов
Формат:
Мастер-классы, интенсивные воркшопы и серии приглашенных лекций
Цель:
Углубление экспертизы, перенимание передовых практик рынка и решение узкоспециализированных задач
Привлечение внешних ИИ-специалистов:
Приглашение практикующих prompt-инженеров, AI-интеграторов и экспертов по автоматизации для разбора сложных сценариев конкретно под нужды отделов (например, ИИ в отделе продаж, ИИ для написания кода, ИИ в стратегическом маркетинге)
Приглашение практикующих prompt-инженеров, AI-интеграторов и экспертов по автоматизации для разбора сложных сценариев конкретно под нужды отделов (например, ИИ в отделе продаж, ИИ для написания кода, ИИ в стратегическом маркетинге)
Разбор актуальных кейсов рынка:
Изучение того, как нейросети внедряют лидеры отрасли. Фокус на «слепых зонах» и неочевидных лайфхаках, которые сложно найти в открытых источниках, но которые используют профессионалы
Изучение того, как нейросети внедряют лидеры отрасли. Фокус на «слепых зонах» и неочевидных лайфхаках, которые сложно найти в открытых источниках, но которые используют профессионалы
Сложные интеграции и создание агентов:
Обучение работе со специализированными инструментами (настройка собственных GPT-агентов под конкретные бизнес-процессы компании, базовые принципы работы с API нейросетей)
Обучение работе со специализированными инструментами (настройка собственных GPT-агентов под конкретные бизнес-процессы компании, базовые принципы работы с API нейросетей)
Результат:
В компании формируется костяк внутренних «ИИ-амбассадоров» (чемпионов инноваций). Уровень владения технологиями переходит от базовой автоматизации рутины к созданию новых конкурентных преимуществ для бизнеса
Гайд
План обучения команды безопасной работе с ИИ
Данный план поможет выстроить в компании культуру безопасного использования нейросетей, минимизировать риски утечки данных и предотвратить юридические проблемы.
Этап 1
Внедрение корпоративной ИИ-политики (Вводный инструктаж)
Формат:
Обязательный вебинар для всех сотрудников или интерактивный курс при онбординге
Цель:
Обозначить границы: что разрешено, а что строго запрещено
«Белые» и «черные» списки инструментов:
Четкий перечень разрешенных нейросетей (например, только корпоративные версии с защитой данных) и запрещенных сервисов (сомнительные боты в мессенджерах, неофициальные клиенты)
Четкий перечень разрешенных нейросетей (например, только корпоративные версии с защитой данных) и запрещенных сервисов (сомнительные боты в мессенджерах, неофициальные клиенты)
Регламент компании:
Обзор внутреннего документа, регулирующего использование ИИ в рабочих процессах. Алгоритм получения доступа к платным и корпоративным инструментам.
Обзор внутреннего документа, регулирующего использование ИИ в рабочих процессах. Алгоритм получения доступа к платным и корпоративным инструментам.
Ответственность:
Фиксация правила, согласно которому финальную ответственность за любой продукт, расчет или текст несет сотрудник, а не нейросеть.
Фиксация правила, согласно которому финальную ответственность за любой продукт, расчет или текст несет сотрудник, а не нейросеть.
Этап 2
Информационная безопасность и классификация данных
Формат:
Практический семинар совместно с отделом информационной безопасности (ИБ)
Цель:
Предотвратить утечки чувствительной информации и коммерческой тайны
Правило «Нулевого доверия» (Zero Trust):
Объяснение того, как публичные модели (бесплатные версии ChatGPT, Claude и др.) используют вводимые данные для собственного обучения
Объяснение того, как публичные модели (бесплатные версии ChatGPT, Claude и др.) используют вводимые данные для собственного обучения
Матрица данных:
Разбор примеров того, что категорически нельзя загружать в публичные ИИ: персональные данные клиентов (ПДн), финансовые отчеты до их публикации, исходный код, пароли, API-ключи, стратегии развития и неопубликованные документы.
Разбор примеров того, что категорически нельзя загружать в публичные ИИ: персональные данные клиентов (ПДн), финансовые отчеты до их публикации, исходный код, пароли, API-ключи, стратегии развития и неопубликованные документы.
Анонимизация данных:
Обучение базовым навыкам обезличивания информации перед ее отправкой в нейросеть (замена реальных названий компаний на «Компания Х», удаление имен и цифр)
Обучение базовым навыкам обезличивания информации перед ее отправкой в нейросеть (замена реальных названий компаний на «Компания Х», удаление имен и цифр)
Этап 3
Фактчекинг и управление рисками «галлюцинаций»
Формат:
Разбор реальных кейсов (ошибок) на практике
Цель:
Исключить репутационные и финансовые риски от слепого доверия алгоритмам
Природа галлюцинаций ИИ:
Понимание того, почему нейросети могут уверенно выдавать выдуманные факты, несуществующие законы или неработающие ссылки
Понимание того, почему нейросети могут уверенно выдавать выдуманные факты, несуществующие законы или неработающие ссылки
Процесс верификации:
Внедрение обязательного этапа ручной проверки всех критически важных данных, цифр, цитат и ссылок на источники. Перекрестная проверка ответов ИИ через официальные документы или профильных специалистов
Внедрение обязательного этапа ручной проверки всех критически важных данных, цифр, цитат и ссылок на источники. Перекрестная проверка ответов ИИ через официальные документы или профильных специалистов
Оценка предвзятости:
Обучение навыку распознавания логических искажений или устаревшей информации в ответах алгоритмов
Обучение навыку распознавания логических искажений или устаревшей информации в ответах алгоритмов
Этап 4
Юридическая и этическая безопасность
Формат:
Лекция или воркшоп от юридического отдела/внешнего ИИ-практика
Цель:
Защитить компанию от претензий в сфере авторского права
Вопросы авторского права:
Разъяснение статуса сгенерированного контента. Объяснение того, что ИИ-изображения, тексты и код могут не охраняться авторским правом, либо нарушать чужие патенты
Разъяснение статуса сгенерированного контента. Объяснение того, что ИИ-изображения, тексты и код могут не охраняться авторским правом, либо нарушать чужие патенты
Лицензионная чистота:
Правила использования ИИ-контента в коммерческих проектах, рекламе или продуктах, которые продаются конечным пользователям
Правила использования ИИ-контента в коммерческих проектах, рекламе или продуктах, которые продаются конечным пользователям
Прозрачность и маркировка:
Внедрение правил о том, в каких случаях компания и сотрудники обязаны раскрывать информацию (клиентам, партнерам), что часть работы была выполнена с помощью ИИ
Внедрение правил о том, в каких случаях компания и сотрудники обязаны раскрывать информацию (клиентам, партнерам), что часть работы была выполнена с помощью ИИ
Этап 5
Продвинутая безопасность у ИИ-экспертов
Формат:
Интенсивы для узких групп (разработчики, топ-менеджмент, специалисты по безопасности)
Цель:
Работа с интеграциями на системном уровне
Безопасность API:
Обучение IT-отдела безопасному подключению ключей ИИ по API к внутренним системам, чтобы исключить риск перехвата данных злоумышленниками
Обучение IT-отдела безопасному подключению ключей ИИ по API к внутренним системам, чтобы исключить риск перехвата данных злоумышленниками
Разбор громких инцидентов:
Анализ утечек кода и коммерческой информации у мировых корпораций через нейросети — как это произошло и как избежать аналогичного сценария (учиться на чужих ошибках)
Анализ утечек кода и коммерческой информации у мировых корпораций через нейросети — как это произошло и как избежать аналогичного сценария (учиться на чужих ошибках)
Защита от современных угроз:
Обучение распознаванию дипфейков, фишинговых писем, сгенерированных ИИ, и попыток социальной инженерии, направленных на сотрудников с помощью нейросетей
Обучение распознаванию дипфейков, фишинговых писем, сгенерированных ИИ, и попыток социальной инженерии, направленных на сотрудников с помощью нейросетей
Этап 6
Инцидент-менеджмент и регулярный контроль
Формат:
Постоянный процесс
Цель:
Поддержка актуального уровня знаний и контроля
Сценарии реагирования (Incident Response):
Четкий пошаговый план: что должен сделать сотрудник, если он понял, что случайно отправил базу данных клиентов в публичный чат-бот (без страха увольнения, с фокусом на быстрое решение проблемы)
Четкий пошаговый план: что должен сделать сотрудник, если он понял, что случайно отправил базу данных клиентов в публичный чат-бот (без страха увольнения, с фокусом на быстрое решение проблемы)
Регулярные проверки:
Периодические тест-рассылки (по аналогии с учебным фишингом) для проверки того, как сотрудники соблюдают правила безопасности
Периодические тест-рассылки (по аналогии с учебным фишингом) для проверки того, как сотрудники соблюдают правила безопасности
Обновление знаний:
Раз в квартал — краткий дайджест о новых ИИ-угрозах, изменениях в законодательстве и обновлениях списков разрешенных инструментов
Раз в квартал — краткий дайджест о новых ИИ-угрозах, изменениях в законодательстве и обновлениях списков разрешенных инструментов
Этап 7
Продвинутая безопасность у ИИ-экспертов
Формат:
Мастер-классы, интенсивные воркшопы и серии приглашенных лекций
Цель:
Углубление экспертизы, перенимание передовых практик рынка и решение узкоспециализированных задач
Привлечение внешних ИИ-специалистов:
Приглашение практикующих prompt-инженеров, AI-интеграторов и экспертов по автоматизации для разбора сложных сценариев конкретно под нужды отделов (например, ИИ в отделе продаж, ИИ для написания кода, ИИ в стратегическом маркетинге)
Приглашение практикующих prompt-инженеров, AI-интеграторов и экспертов по автоматизации для разбора сложных сценариев конкретно под нужды отделов (например, ИИ в отделе продаж, ИИ для написания кода, ИИ в стратегическом маркетинге)
Разбор актуальных кейсов рынка:
Изучение того, как нейросети внедряют лидеры отрасли. Фокус на «слепых зонах» и неочевидных лайфхаках, которые сложно найти в открытых источниках, но которые используют профессионалы
Изучение того, как нейросети внедряют лидеры отрасли. Фокус на «слепых зонах» и неочевидных лайфхаках, которые сложно найти в открытых источниках, но которые используют профессионалы
Сложные интеграции и создание агентов:
Обучение работе со специализированными инструментами (настройка собственных GPT-агентов под конкретные бизнес-процессы компании, базовые принципы работы с API нейросетей)
Обучение работе со специализированными инструментами (настройка собственных GPT-агентов под конкретные бизнес-процессы компании, базовые принципы работы с API нейросетей)
Результат:
В компании формируется костяк внутренних «ИИ-амбассадоров» (чемпионов инноваций). Уровень владения технологиями переходит от базовой автоматизации рутины к созданию новых конкурентных преимуществ для бизнеса
Агатов Б. Б.
ИНН 772013524658
